Pelanggaran Data

19 Miliar Kata Sandi Bocor: Apa Arti RockYou2024

13 April 20265 menit bacaTerakhir diperbarui 15 Apr 2026

By Marcus Weber — CISSP certified, 12 years in cybersecurity journalism

19 Miliar Kata Sandi Bocor: Apa Arti RockYou2024 bagi Anda

Para peneliti keamanan siber telah mengungkap koleksi kredensial curian yang terindeks secara publik terbesar yang pernah tercatat. Dijuluki RockYou2024, repositori ini berisi lebih dari 19 miliar kata sandi yang disusupi, dikumpulkan dari lebih dari 200 pelanggaran data terkini. File tersebut sedang aktif beredar di forum peretas, di mana file ini digunakan untuk melancarkan serangan credential stuffing terhadap platform perbankan, akun media sosial, dan jaringan perusahaan.

Jika Anda memiliki akun online di mana pun, kebocoran ini relevan bagi Anda.

Apa Itu RockYou2024 dan Dari Mana Asalnya?

Nama "RockYou" memiliki bobot tersendiri di komunitas keamanan. Nama ini merujuk pada pelanggaran platform game RockYou pada tahun 2009 yang mengekspos 32 juta kata sandi dalam format teks biasa, sebuah file yang menjadi daftar referensi dasar bagi alat-alat pembobol kata sandi. RockYou2024 adalah evolusi dari konsep tersebut yang jauh lebih ambisius dan berbahaya.

Alih-alih berasal dari satu pelanggaran tunggal, RockYou2024 adalah kumpulan data yang disusun dari lebih dari 200 insiden terpisah. Artinya, ini bukan mencerminkan kegagalan satu perusahaan. Ini mencerminkan akumulasi pelanggaran selama bertahun-tahun di berbagai industri, negara, dan platform, yang semuanya dikonsolidasikan menjadi satu wadah data yang dapat dicari dan kini bisa digunakan secara sistematis oleh para pelaku kejahatan.

Angka 19 miliar merujuk pada entri kata sandi individual, bukan akun unik. Banyak data muncul beberapa kali di berbagai pelanggaran yang berbeda. Namun para peneliti memperingatkan bahwa meskipun memperhitungkan duplikat, volume dan luasnya kumpulan data ini tetap membuatnya sangat berbahaya.

Mengapa Credential Stuffing Adalah Ancaman Sesungguhnya

Risiko utama yang ditimbulkan RockYou2024 bukan bahwa seseorang akan membobol kata sandi Anda melalui brute force. Melainkan bahwa mereka mungkin sudah memilikinya.

Serangan credential stuffing bekerja seperti ini: seorang penyerang mengambil kombinasi nama pengguna dan kata sandi yang diketahui dari kumpulan data yang bocor, lalu mencobanya di puluhan atau ratusan layanan lain. Jika Anda menggunakan kata sandi yang sama untuk akun forum beberapa tahun lalu yang juga Anda gunakan untuk bank Anda sekarang, penyerang tidak perlu meretas bank Anda. Mereka cukup mencoba kredensial yang sudah mereka miliki.

Penggunaan ulang kata sandi tetap menjadi salah satu kebiasaan yang paling umum dan paling banyak dieksploitasi dalam keamanan pribadi. Berbagai studi secara konsisten menunjukkan bahwa sebagian besar pengguna menggunakan kembali kata sandi di beberapa akun. RockYou2024 mengubah kebiasaan itu menjadi kerentanan yang langsung dan dapat dieksploitasi dalam skala besar.

Karena kumpulan data ini beredar secara terbuka di forum alih-alih disimpan secara pribadi oleh satu pelaku ancaman, permukaan serangan tidak terbatas pada peretas yang canggih. Operator dengan keahlian yang relatif rendah kini dapat menjalankan kampanye credential stuffing menggunakan alat yang tersedia luas dengan kumpulan data ini sebagai bahan bakarnya.

Apa Artinya Bagi Anda

Jika kredensial Anda muncul dalam salah satu dari lebih dari 200 pelanggaran yang membentuk kumpulan data ini, kredensial tersebut berpotensi berada di tangan siapa pun yang mengunduh file tersebut. Namun bahkan jika Anda yakin akun Anda tidak secara langsung dibobol, skala RockYou2024 berarti risikonya bukan sekadar teori.

Inilah yang paling penting saat ini:

Penggunaan ulang kata sandi adalah kerentanan utama. Kata sandi yang kuat dan unik pada satu akun tidak berarti apa-apa jika Anda menggunakan kata sandi yang sama di tempat lain dan akun tersebut disusupi. Setiap akun harus memiliki kata sandi tersendiri yang berbeda.

VPN tidak melindungi kata sandi Anda. VPN mengenkripsi lalu lintas internet Anda dan menyembunyikan alamat IP Anda, yang memang benar-benar bernilai untuk privasi. Namun VPN tidak melakukan apa pun untuk mencegah credential stuffing. Jika penyerang sudah memiliki nama pengguna dan kata sandi Anda, mereka tidak perlu mencegat koneksi Anda. Mereka hanya perlu mencoba masuk. Keamanan berlapis berarti menggabungkan perlindungan lalu lintas dengan pengelolaan kredensial yang baik.

Autentikasi multi-faktor adalah penghalang paling efektif Anda. Bahkan jika penyerang memiliki nama pengguna dan kata sandi yang benar, faktor autentikasi kedua, baik berupa kode dari aplikasi, kunci perangkat keras, maupun verifikasi biometrik, akan menghentikan upaya login seketika. Aktifkan di mana pun tersedia, dengan mengutamakan akun keuangan, email, dan akun apa pun yang terhubung ke metode pembayaran.

Periksa keterpaparan Anda. Layanan gratis seperti Have I Been Pwned memungkinkan Anda memasukkan alamat email dan melihat pelanggaran mana yang telah menyertakan kredensial Anda. Ini adalah pemeriksaan yang cepat dan layak untuk dilakukan.

Gunakan pengelola kata sandi. Membuat dan mengingat kata sandi yang unik dan kompleks untuk setiap akun tidak realistis tanpa alat bantu. Pengelola kata sandi menangani hal itu secara otomatis, membuat kredensial yang kuat dan menyimpannya dengan aman sehingga Anda hanya perlu mengingat satu kata sandi utama.

Melindungi Identitas Digital Anda Melampaui Satu Alat Tunggal

RockYou2024 adalah pengingat bahwa keamanan digital bukan produk yang Anda beli sekali lalu dilupakan. Ini adalah serangkaian praktik yang saling tumpang tindih. Mengenkripsi lalu lintas Anda, mengelola kredensial dengan cermat, mengaktifkan autentikasi multi-faktor, dan tetap waspada terhadap upaya phishing semuanya bekerja secara bersamaan. Menghilangkan salah satu lapisan tersebut menciptakan celah yang siap dieksploitasi oleh penyerang.

Ukuran kebocoran ini memang mengkhawatirkan, tetapi responsnya tidak perlu berupa kepanikan. Yang dibutuhkan adalah tindakan yang sistematis. Mulailah dengan akun-akun terpenting Anda, ubah kata sandi yang digunakan ulang, aktifkan autentikasi multi-faktor, dan gunakan pengelola kata sandi ke depannya. Langkah-langkah ini tidak akan membuat Anda kebal dari setiap ancaman, tetapi akan menempatkan Anda jauh di depan sebagian besar target yang dirancang untuk diincar oleh serangan credential stuffing.

// FAQ

Apa itu RockYou2024?

RockYou2024 adalah koleksi kredensial curian yang terindeks secara publik terbesar yang pernah tercatat, berisi lebih dari 19 miliar kata sandi yang disusupi dan dikompilasi dari lebih dari 200 pelanggaran data terpisah. File tersebut sedang aktif beredar di forum peretas dan digunakan untuk menyerang platform perbankan, akun media sosial, dan jaringan perusahaan.

Dari mana kumpulan data RockYou2024 berasal?

Tidak seperti pelanggaran tunggal, RockYou2024 dikompilasi dari lebih dari 200 insiden pelanggaran data terpisah di berbagai industri, negara, dan platform. Ini bukan hasil kegagalan satu perusahaan, melainkan akumulasi pelanggaran selama bertahun-tahun yang dikonsolidasikan menjadi satu kumpulan data.

Apakah angka 19 miliar berarti 19 miliar akun unik telah disusupi?

Tidak, angka 19 miliar merujuk pada entri kata sandi individual, bukan akun unik, dan banyak data muncul beberapa kali di berbagai pelanggaran yang berbeda. Namun para peneliti memperingatkan bahwa meskipun memperhitungkan duplikat, volume dan luasnya kumpulan data ini tetap sangat berbahaya.

Apa itu serangan credential stuffing dan mengapa RockYou2024 memperburuknya?

Serangan credential stuffing melibatkan pengambilan kombinasi nama pengguna dan kata sandi yang diketahui dari kumpulan data yang bocor dan mencobanya di berbagai layanan lain, memanfaatkan kebiasaan umum penggunaan ulang kata sandi. RockYou2024 memperburuk hal ini karena kumpulan data tersebut beredar secara terbuka di forum, yang berarti bahkan penyerang dengan keahlian rendah pun dapat menjalankan kampanye ini menggunakan alat yang tersedia luas.

Apakah Anda harus menjadi peretas canggih untuk mengeksploitasi kumpulan data RockYou2024?

Tidak, karena kumpulan data ini beredar secara terbuka di forum peretas alih-alih disimpan secara pribadi, operator dengan keahlian yang relatif rendah pun dapat menjalankan kampanye credential stuffing menggunakan alat yang tersedia luas beserta kumpulan data tersebut. Hal ini secara signifikan memperluas potensi permukaan serangan melampaui peretas yang canggih saja.